spring cloud脚手架项目(十六)开发HTTP API 接口签名验证

最新推荐文章于 2024-04-23 16:37:29 发布
最新推荐文章于 2024-04-23 16:37:29 发布
阅读量523 收藏 1
点赞数
分类专栏: spring boot 个人项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33562996/article/details/109843436
版权

前言

最近有给写一个开发接口给第三方用。也趁机学习了一下有关如果提供一个接口的验签的过程
也有参考到这篇文章:https://mp.weixin.qq.com/s/VJX6h2Fl_a5N3iCWe777nA

如何接口安全问题

需要解决3个问题:
请求身份是否合法?
请求参数是否被篡改?
请求是否唯一?

请求身份

为开发者分配accessKey(开发者标识,确保唯一)和secretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测)。

防止篡改

按照请求参数名的字母升序排列非空请求参数(包含AccessKey),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA;
在stringA最后拼接上Secretkey得到字符串stringSignTemp;
对stringSignTemp进行MD5运算,并将得到的字符串所有字符转换为大写,得到sign值。
请求携带参数accessKey和sign,只有拥有合法的身份accessKey和正确的签名sign才能放行。这样就解决了身份验证和参数篡改问题,即使请求参数被劫持,由于获取不到secretKey(仅作本地加密使用,不参与网络传输),无法伪造合法的请求。

重放攻击

虽然解决了请求参数被篡改的隐患,但是还存在着重复使用请求参数伪造二次请求的隐患。
使用
timestamp+nonce方案
nonce指唯一的随机字符串,用来标识每个被签名的请求。通过为每个请求提供一个唯一的标识符,服务器能够防止请求被多次使用(记录所有用过的nonce以阻止它们被二次使用)。
然而,对服务器来说永久存储所有接收到的nonce的代价是非常大的。可以使用timestamp来优化nonce的存储。
假设允许客户端和服务端最多能存在15分钟的时间差,同时追踪记录在服务端的nonce集合。当有新的请求进入时,首先检查携带的timestamp是否在15分钟内,如超出时间范围,则拒绝,然后查询携带的nonce,如存在已有集合,则拒绝。否则,记录该nonce,并删除集合内时间戳大于15分钟的nonce。

代码实现

基本请求类

public class OpenRequestDTO {
    private String accessKey;
    private String sign;
    private LocalDateTime timestamp;
    private String nonce;
    //以下为get/set方法

继承后的一个实现类

public class TestOpenRequestDTO extends OpenRequestDTO{
    private String paramA;
    private String paramB;
    //以下为get/set方法

具体的参数校验方法类

import com.chen.service.requestDTO.OpenRequestDTO;
import com.chen.service.requestDTO.TestOpenRequestDTO;
import com.google.common.cache.Cache;
import com.google.common.cache.CacheBuilder;
import com.google.gson.Gson;
import org.apache.commons.codec.digest.DigestUtils;
import org.springframework.beans.BeanUtils;

import java.nio.charset.StandardCharsets;
import java.time.Duration;
import java.time.LocalDateTime;
import java.util.ArrayList;
import java.util.Collections;
import java.util.Map;
import java.util.Set;
import java.util.concurrent.TimeUnit;

public class CheckSign {
    private static String secretKey = "123456";
    private static String accessKey = "testUser";

    // 通过CacheBuilder构建一个缓存实例
    private static Cache<String, String> cache = CacheBuilder.newBuilder()
            .maximumSize(10000) // 设置缓存的最大容量
            .expireAfterWrite(15, TimeUnit.MINUTES) // 设置缓存在写入一分钟后失效
            .concurrencyLevel(10) // 设置并发级别为10
            .recordStats() // 开启缓存统计
            .build();

    public static void main(String[] args) {
        TestOpenRequestDTO openRequestDTO = new TestOpenRequestDTO();
        openRequestDTO.setAccessKey(accessKey);
        openRequestDTO.setNonce("qwe");
        //先执行一次获得对应的sign
        openRequestDTO.setSign("F36A9A4436D5C8B42A410C6A061FE333");
        openRequestDTO.setParamA("a");
        openRequestDTO.setParamB("b");
        //注意设置时间与当前时间
        LocalDateTime dateTime = LocalDateTime.of(2020, 11, 20, 11, 40, 0);
        openRequestDTO.setTimestamp(dateTime);
        OpenRequestDTO openRequestDTONext = new OpenRequestDTO();
        BeanUtils.copyProperties(openRequestDTO,openRequestDTONext);
        Gson gson = new Gson();
        String a = gson.toJson(openRequestDTO);
        System.out.println("请求json:"+a);
        System.out.println(CheckSign.check(openRequestDTO));
        System.out.println(CheckSign.check(openRequestDTONext));
    }

    public static boolean check(OpenRequestDTO openRequestDTO) {
        if (!checkParams(openRequestDTO)) {
            return false;
        }
        if (!checkTime(openRequestDTO)) {
            return false;
        }
        if (!checkNonce(openRequestDTO)) {
            return false;
        }
        String sign = openRequestDTO.getSign();
        openRequestDTO.setSign(null);
        Gson gson = new Gson();
        String a = gson.toJson(openRequestDTO);
        Map<String, Object> map = gson.fromJson(a, Map.class);
        String result = CheckSign.sign(map, secretKey);
        System.out.println("result:" + result);
        if (result.equals(sign)) {
            return true;
        }
        return false;
    }

    /**
     * 参数校验
     * @param openRequestDTO
     * @return
     */
    public static boolean checkParams(OpenRequestDTO openRequestDTO) {
        if (openRequestDTO.getAccessKey() == null || openRequestDTO.getNonce() == null || openRequestDTO.getSign() == null || openRequestDTO.getTimestamp() == null) {
            System.out.println("校验失败,有参数为空");
            return false;
        }
        return true;
    }

    /**
     * 时间校验
     * @param openRequestDTO
     * @return
     */
    public static boolean checkTime(OpenRequestDTO openRequestDTO) {
        Duration duration = Duration.between(openRequestDTO.getTimestamp(), LocalDateTime.now());
        if (duration.toMinutes() > 15 || duration.toMinutes() < 0) {
            System.out.println("校验失败,时间超时");
            return false;
        }
        return true;
    }

    /**
     * 随机数校验
     * @param openRequestDTO
     * @return
     */
    public static boolean checkNonce(OpenRequestDTO openRequestDTO) {
        String key = openRequestDTO.getNonce();
        String value = null;
        value = cache.getIfPresent(key);
        if (value != null) {
            System.out.println("校验失败,重复请求");
            return false;
        }
        cache.put(openRequestDTO.getNonce(), openRequestDTO.getTimestamp().toString());
        return true;
    }

    /**
     * 签名校验
     * @param attrs
     * @param signKey
     * @return
     */
    public static String sign(Map<String, Object> attrs, String signKey) {
        StringBuilder sb = new StringBuilder();
        Set<String> strings = attrs.keySet();
        ArrayList<String> keys = new ArrayList<>(strings);
        Collections.sort(keys);
        for (String key : keys) {
            Object value = attrs.get(key);
            buildField(sb, key, value);
        }
        sb.append(signKey);
        System.out.println("最终参数为sb:" + sb);
        return DigestUtils.md5Hex(sb.toString().getBytes(StandardCharsets.UTF_8)).toUpperCase();
    }

    /**
     * 参数构建
     * @param sb
     * @param key
     * @param value
     */
    private static void buildField(StringBuilder sb, String key, Object value) {
        if (null != value) {
            //第二次
            if (sb.length() > 0) {
                sb.append("&");
            }
            sb.append(key);
            sb.append("=");
            sb.append(value);
        }
    }
}

结果

请求json:{"paramA":"a","paramB":"b","accessKey":"testUser","sign":"F36A9A4436D5C8B42A410C6A061FE333","timestamp":{"date":{"year":2020,"month":11,"day":20},"time":{"hour":11,"minute":40,"second":0,"nano":0}},"nonce":"qwe"}
最终参数为sb:accessKey=testUser&nonce=qwe&paramA=a&paramB=b&timestamp={date={year=2020.0, month=11.0, day=20.0}, time={hour=11.0, minute=40.0, second=0.0, nano=0.0}}123456
result:F36A9A4436D5C8B42A410C6A061FE333
true
校验失败,重复请求
false

说明

对应的jar包

spring工具
google的工具包
jdk1.8
google的gsong工具

参数设置

secretKey恒定为123456
accessKey恒定为testUser
这部分在服务器上可以用配置文件或者存放在数据库中
设置了一个google的缓存,用于存储请求的随机唯一值,在线上服务器可以用redis代替

代码使用

先localdatetime设置时间不能和现在时间超出15分钟。
直接启动main方法获得sign值,这个时候会提示校验出错,
获得产生的sign值进行修改
然后校验第一次通过,第二次由于随机数相同校验失败

等那时夕颜
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springcloud提供开放api接口签名验证
daweiqu4168的博客
02-19 1252
一、MD5参数签名的方式 我们对api查询产品接口进行优化: 1.给app分配对应的key、secret 2.Sign签名,调用API时需要对请求参数进行签名验证签名方式如下: a.按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue字符串如:将arong=1,mrong=2,crong=3排序为:a...
SpringCloud Gateway API接口安全设计(加密 、签名
Java笔记虾
05-26 608
点击关注公众号,利用碎片时间学习1 防止数据抓包窃取1.1 风险简述简述:当用户登录时,恶意攻击者可以用抓包工具可以拿到用户提交的表单信息,可以获取用户的账号密码,进而可以恶意访问网站。1.2 RSA 非对称加密1.2.1 RSA简介RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)...
SpringCloud微服务多应用脚手架的搭建与部署
summon的博客
04-23 1169
第五步:依照上面建立cloud-api项目的方式,建立cloud-base-4000(基础服务模块,4000指代当前服务对外的端口号,后面4001同理),cloud-operation-4001(运维管理模块)第五步:这里需要注意,单选选择第二个;1、在cloud的pom文件中引入的依赖会作用到所有服务中,例如在cloud的pom文件中引入了slf4j依赖,则其。同样,在operation服务也加入api的依赖,那么在operation服务也可以使用api中所有的类了。
Spring cloud在网关常用签名验证方法
zhuwei_clark的博客
09-11 8050
 一般在做接口请求的时候为了保证参数的一致性和防止有人利用正确的参数做大量的重复请求,一般都会做签名验证。 在spring cloud项目一般是在网关,利用过滤器的方式进行验证。 public class SignFilter extends ZuulFilter{ @Override public Object run() throws ZuulException { // T...
微服务架构系列主题:SpringCloud Gateway API接口安全设计(加密 、签名、安全)
Larry的博客
06-08 903
SpringCloud Gateway API接口安全设计(加密 、签名、安全)
基于Spring Cloud的后端服务开发脚手架项目.zip
04-25
Platform是国内首个基于Spring Cloud微服务化开发平台,具有统一授权、认证后台管理系统,其中包含具备用户管理、资源权限管理、网关API 管理等多个模块,支持多业务系统并行开发,可以作为后端服务的开发脚手架。...
轻松构建springboot springcloud脚手架项目
最新发布
05-30
轻松构建 Spring Boot和Spring Cloud微服务脚手架项目能够快速启动和运行,提供了一套完整的开发框架和工具。Spring Boot简化了配置和部署过程,而Spring Cloud提供了一系列用于构建分布式系统的工具和库。这些...
基于Java的SpringCloud微服务开发脚手架设计源码
04-11
本源码提供了一个基于Java的SpringCloud微服务开发脚手架设计。项目包含427个文件,其中包括258个Java源文件、55个YAML文件、29个XML文件、21个PNG图片、20个Markdown文档、13个Gitignore文件、6个SQL文件、4个Adoc...
Spring Cloud 系列脚手架项目,面向 Spring Cloud 初学者
10-25
Spring Cloud 和队列的其他框架一样,说到底只是一个工具。其实没有什么涉及可言,只要花点时间实践一下,人人都可以使用。工具的使用都是一样的,所以使用手册也是大同小异。当然,使用姿势正确得当,系统更加稳定...
springcloud脚手架项目
07-24
基于Spring Cloud、oAuth2.0开发基于Vue前后分离的开发平台,支持账号、短信、SSO等多种登录
spring-cloud-scaffolding:spring cloud 脚手架
05-26
spring-cloud-scaffolding spring cloud 脚手架集成Spring Cloud(Finchley版本)体系,整合了各微服务常用到的基础组件。 利用spring cloud生态圈里的各种组件,搭建一套完整的可实用的项目架构脚手架,只需稍加改造,就可以作为开发项目脚手架工程。 本脚手架目的:减少架构层次的搭建时间,提供一个脚手架可用于拓展,在此脚手架上可以进行业务代码的开发。 本项目会覆盖的技术点有: 技术 名称 官网 Spring Cloud 分布式微服务框架 Spring Boot 快速应用开发Spring框架 OAuth2 Oauth2认证服务 JPA Java持久层API Redis 分布式缓存数据库 Swagger2 REST API 接口测试框架 Maven 项目构建管理 Spring Boot Admin 分布式微服务监控中心 Hystrix-
spring-cloud-gateway 功能-接口签名
面朝大海,春暖花开
07-14 305
一般防止接口被大量请求,会使用接口签名的技术,如时间戳,随机数,加盐。形式拼接 为 str, 然后将 str进行 salt 拼接。为 s2, 然后对 s2进行 md5 即为 签名。将请求参数key根据ASCCI排序,以。
Spring知识小汇(7)——AOP的相关知识
赶路de人的博客
03-05 208
文章目录AOP什么是AOPAOP在Spring中的作用使用spring实现AOPAOP的实现方式一:使用spring原生API接口【主要是spring中的API接口】方式二:自定义来实现AOP【切面】方式三:使用注解实现 AOP 什么是AOP AOP:面向切面编程,通过预编译方式和运行期动态代理实现程序功能的统一维护的一种技术。AOP是OOP的延续,是软件开发中的一个热点,也是Spring框架的一个重要内容,是函数式编程的一种衍生。利用AOP可以对业务逻辑的各个部分进行隔离,从而使得业务逻辑各部分之间的耦
SpringCloudGateway实现数字签名与URL动态加密
Zhangsama1的博客
10-03 1633
再上面我们了解了RSA对称加密,那么当我们进行数据交换的时候,如下:假设有AB两个人,假设前面他们已经交换完毕了公钥。那么此时当A使用B的公钥加密原始数据然后发送数据给B的时候,它可以再数据的后面再携带上一个原始数据hash计算之后得到的hash值,然后用自己的私钥进行加密。
SpringCloud网关的权限验证实践
Blueeyedboy521的博客
04-19 3090
一、概述 公司、个人开发的系统上线后,系统中 API 暴露到网络上会存在一定的安全风险,比如:爬虫、恶意访问、错误访问等。API没有安全性,用户可以任意注册即可无限次访问和调用API,且没有请求与特定用户数据关联的简单方法,就无法防止恶意用户的恶意请求等。 常用 API 接口安全措施如下几种: (1)数据加密 数据在互联网传输过程很容易被抓包,如果直接传输,那么用户数据可能被其他人获取,导致系统安全性等问题,所以必须对数据加密。常见的做法是对关键字段加密,比如用户密码直接通过 md5 加密。 (2)数据签名
SpringCloudSpring Cloud Gateway实现接口防篡改
HQ DevJ的专栏
08-05 2526
网关请求放篡改和防重放
SpringBoot 系列教程(八十五):Spring Boot使用MD5加盐验签Api接口之前后端分离架构设计
Thinkingcao的专栏
12-18 8199
一、前言 在当下的Web开发,或者涉及到H5、APP、小程序等移动端开发时,务必需要后端提供Api接口供前端调用,无论H5程序、App还是小程序,都是如此,那么接口安全问题就被大家重视起来了,现在也越来越多人关注接口安全问题,尤其是一些架构师,传统的接口在传输的过程中,容易被抓包然后更改里面的参数值达到某些目的。传统的做法是用安全框架或者在代码里面做验证,但是有些系统是不需要登录的,随时可以调AP...
基于Spring Cloud的微服务架构脚手架
m0_65096723的博客
06-20 1234
工作了很多年,都没有自己的一个项目脚手架,所以说,前阵子就准备搞一个自己的Spring Cloud微服务的架构。为了搭建自己的脚手架,方便以后项目的管理和维护,现在开发了这一套基础脚手架项目,该项目基于 Spring Boot+ Spring Cloud + MyBatis-Plus+Spring Cloud Alibaba,为了提高项目开发效率,降低项目的维护成本,避免重复造轮子,我基于我上一篇博客 Spring Cloud 微服务基础功能架构来啦 中的基础架构,搭建了一套脚手架,可以直接拿来使用。
springcloud 脚手架
09-02
Spring Cloud 脚手架是一个集成了常用 Spring Cloud 组件的快速开发脚手架工具,它可以帮助开发者快速搭建基于 Spring Cloud 架构的微服务应用。该脚手架提供了一系列的脚手架模板和代码生成工具,简化了微服务的开发和部署过程。 使用 Spring Cloud 脚手架开发者可以轻松创建服务注册与发现、负载均衡、断路器、配置管理等微服务所需的基础设施。它还提供了一些常用的功能模块,如网关、认证、监控等,可以加快开发进度并提高项目的可维护性。 Spring Cloud 脚手架支持多种技术栈和框架,如 Spring Boot、Spring Cloud Alibaba 等,可以根据具体项目需求选择合适的组件集成。 总之,Spring Cloud 脚手架是一个方便快捷的工具,能够帮助开发者节省时间和精力,快速构建高可用、可扩展的微服务应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值